Bonjour,

Ces annonces de sécurité ont été publiées.
Les fichiers sont aussi disponibles ici :
https://salsa.debian.org/webmaster-team/webwml/raw/master/english/lts/security/2020/dla-xxxx.wml
https://salsa.debian.org/webmaster-team/webwml/raw/master/french/lts/security/2020/dla-xxxx.wml

Merci d’avance pour vos relectures.

Amicalement.

--
Jean-Paul
#use wml::debian::translation-check translation="bdf9b5119711c864f3b7e07f60cfe46fa05894b9" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Il a été découvert qu’il existait un problème dans libpam-tacplus (un module
de sécurité pour le service d’authentification TACACS+) où les secrets partagés
tels que les clés privées de serveur étaient ajoutées en clair dans divers
journaux.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-13881";>CVE-2020-13881</a>

<p>Il a été découvert qu’il existait un problème dans libpam-tacplus (un module
de sécurité pour le service d’authentification TACACS+) où les secrets partagés
tels que les clés privées de serveur étaient ajoutées en clair dans divers
journaux.</p></li>


</ul>

<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans
la version 1.3.8-2+deb8u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets libpam-tacplus.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2020/dla-2239.data"
# $Id: $
#use wml::debian::translation-check translation="8edc5cf84759f795b4ebb7d1eb6715eabb955363" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Libupnp, le SDK portable pour les périphériques UPnP permet à des attaquants
distants de provoquer un déni de service (plantage) à l'aide d'un message SSDP
contrefait à cause d’un déréférencement de pointeur NULL dans les fonctions
FindServiceControlURLPath et FindServiceEventURLPath dans
genlib/service_table/service_table.c. Ce plantage peut être provoqué en envoyant
un SUBSCRIBE ou UNSUBSCRIBE mal formé en utilisant n’importe quel fichier joint.</p>

<p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans
la version 1.6.19+git20141001-1+deb8u2.</p>

<p>Nous vous recommandons de mettre à jour vos paquets libupnp.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2020/dla-2238.data"
# $Id: $
#use wml::debian::translation-check translation="044e496ff62bc4ab09480fd9c55ef5bf1de3990e" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Les CVE suivants ont été rapportés concernant src:cups.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2019-8842";>CVE-2019-8842</a>

<p>La fonction ippReadIO peut lire incomplètement un champ d’extension.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-3898";>CVE-2020-3898</a>

<p>Il existait un dépassement de tampon de tas dans ppdFindOption() de libcups
dans ppd-mark.c. La fonction ppdOpen ne gérait pas la restriction d’UI non
autorisée. La fonction ppdcSource::get_resolution ne gérait pas les chaînes de
résolution non autorisée.</p></li>

</ul>

<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans
la version 1.7.5-11+deb8u8.</p>

<p>Nous vous recommandons de mettre à jour vos paquets cups.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2020/dla-2237.data"
# $Id: $
#use wml::debian::translation-check translation="bbc365d099412656bba84a2ba6512638df131d04" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Une vulnérabilité a été découverte dans graphicsmagick, une collection
d’outils de traitement d’image, conduisant à un écrasement du tampon de tas lors
de l’agrandissement d’images MNG.</p>

<p>Pour Debian 8 <q>Jessie</q>, ce problème a été corrigé dans
la version 1.3.20-3+deb8u11.</p>

<p>Nous vous recommandons de mettre à jour vos paquets graphicsmagick.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2020/dla-2236.data"
# $Id: $
#use wml::debian::translation-check translation="8ca2f9ee4f77953d340bf460e23918f2a3b96785" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Il a été découvert qu’il existait une divulgation de descripteur de fichier
dans le bus de message D-Bus.</p>

<p>Un attaquant local non privilégié pourrait utiliser cela pour attaquer le
démon du système DBus, conduisant à un déni de service pour tous les
utilisateurs de la machine.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-12049";>CVE-2020-12049</a>

<p>Divulgation de descripteur de fichier dans _dbus_read_socket_with_unix_fds.</p></li>

</ul>

<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans
la version 1.8.22-0+deb8u3.</p>

<p>Nous vous recommandons de mettre à jour vos paquets dbus.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2020/dla-2235.data"
# $Id: $
#use wml::debian::translation-check translation="f06501c0d28e56630b8ef9e96e180d00ebd26066" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Plusieurs bogues CVE concernant src:netqmail ont été signalés.</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2005-1513";>CVE-2005-1513</a>

<p>Un dépassement d'entier dans la fonction stralloc_readyplus dans qmail, lors
d’une exécution sur une plateforme 64 bits avec une grande utilisation de
mémoire virtuelle, permet à des attaquants distants de provoquer un déni de
service et, éventuellement, d’exécuter du code arbitraire à l'aide d'une requête
SMTP importante.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2005-1514";>CVE-2005-1514</a>

<p>La fonction commands.c dans qmail, lors d’une exécution sur une plateforme
64 bits avec une grande utilisation de mémoire virtuelle, permet à des
attaquants distants de provoquer un déni de service et, éventuellement,
d’exécuter du code arbitraire à l'aide d'une longue commande SMTP sans caractère
espace, faisant qu’un tableau soit référencé avec un indice négatif.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2005-1515";>CVE-2005-1515</a>

<p>Une erreur d’entiers signés dans les fonctions qmail_put et substdio_put dans
qmail, lors d’une exécution sur une plateforme 64 bits avec une grande
utilisation de mémoire virtuelle, permet à des attaquants distants de provoquer
un déni de service et, éventuellement, d’exécuter du code arbitraire à l'aide
d'un grand nombre de commandes SMTP RCPT TO.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-3811";>CVE-2020-3811</a>

<p>La fonction qmail-verify comme utilisée dans netqmail 1.06 est prédisposée à
une vulnérabilité de contournement de vérification d’adresse de courriel.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2020-3812";>CVE-2020-3812</a>

<p>La fonction qmail-verify comme utilisée dans netqmail 1.06 est prédisposée à
une vulnérabilité de divulgation d'informations. Un attaquant local peut
tester l’existence des fichiers et répertoires dans tout le système de fichiers
car qmail-verify est exécutée en tant qu’administrateur et teste l’existence de
fichiers dans le répertoire home de l’attaquant, sans diminuer d’abord ses
privilèges.</p></li>

</ul>

<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans
la version 1.06-6.2~deb8u1.</p>

<p>Nous vous recommandons de mettre à jour vos paquets netqmail.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2020/dla-2234.data"
# $Id: $
#use wml::debian::translation-check translation="0f81c1fd3e5f3051ec10c7b021d80edc73ce94d8" maintainer="Jean-Paul Guillonneau"
<define-tag description>Mise à jour de sécurité pour LTS</define-tag>
<define-tag moreinfo>

<p>Il a été découvert qu’il existait deux problèmes dans
<a href="https://www.djangoproject.com/";>Django</a>, le cadriciel de
développement web en Python :</p>

<ul>
<li>
<a href="https://security-tracker.debian.org/tracker/CVE-2020-13254";>
CVE-2020-13254 : divulgation potentielle de données à l’aide de clés memcached
mal formées.</a>

<p>Dans le cas où un dorsal memcached ne réalise pas une validation de clé,
le passage de clés mal formées en cache pourrait aboutir à une collision de clés
et un divulgation potentielle de données. Pour éviter cela, une validation de
clé a été ajoutée dans les dorsaux memcached de cache.</p>
</li>
<li>
<a href="https://security-tracker.debian.org/tracker/CVE-2020-13596";>
CVE-2020-13596 : XSS possible à l'aide d'un ForeignKeyRawIdWidget
d’administration.
</a>

<p>Les paramètres de requête pour ForeignKeyRawIdWidget d’administration
n’étaient pas proprement encodés pour l’URL, constituant un vecteur d’attaque
XSS. ForeignKeyRawIdWidget désormais assure que les paramètres de requête soient
correctement encodés pour l’URL.</p>
</li>
</ul>

<p>Pour plus d’informations, veuillez consulter
<a href="https://www.djangoproject.com/weblog/2020/jun/03/security-releases/";>l’annonce
de l’amont</a>.</p>

<p>Cette publication corrige aussi des échecs de test introduits dans
<tt>1.7.11-1+deb8u3</tt> et <tt>1.7.11-1+deb8u8</tt> par les correctifs
respectifs pour
<a href="https://security-tracker.debian.org/tracker/CVE-2019-19844";>CVE-2018-7537</a>
et <a href="https://security-tracker.debian.org/tracker/CVE-2019-19844";>CVE-2019-19844</a>.</p>

<p>Pour Debian 8 <q>Jessie</q>, ces problèmes ont été corrigés dans
la version 1.7.11-1+deb8u9.</p>

<p>Nous vous recommandons de mettre à jour vos paquets python-django.</p>

<p>Plus d’informations à propos des annonces de sécurité de Debian LTS, comment
appliquer ces mises à jour dans votre système et les questions fréquemment posées
peuvent être trouvées sur : <a href="https://wiki.debian.org/LTS";>https://wiki.debian.org/LTS</a>.</p>
</define-tag>

# do not modify lea following line
#include "$(ENGLISHDIR)/lts/security/2020/dla-2233.data"
# $Id: $

Répondre à